4 IoT-Sicherheitsherausforderungen, mit denen wir 2015 konfrontiert sind

Da das Internet der Dinge (IoT) und vernetzte Geräte schnell an Popularität und Zugkraft gewinnen, rückt die Sicherheit ins Rampenlicht. Längst vorbei sind die Zeiten, in denen Sicherheit für „intelligente“ Geräte eine Nebensache war. Heute stehen Sicherheitsfragen im Vordergrund der Entwickler. Entwickler werden darin geschult, mit IoT-Sicherheitsherausforderungen umzugehen, und in der Blackhat-Community wird mehr über die Ausnutzung dieser Art von Geräten veröffentlicht. Es gibt sogar eine Unterkonferenz auf der Blackhat 2015, die darauf abzielt, IoT-Geräte zu extrahieren, zu analysieren und zu hacken, um Entwickler zu schulen, wie man IoT-Sicherheitsschwachstellen verhindert.

Wir bei Link Labs sind der Meinung, dass die IoT-Community im Jahr 2015 vier wichtigen Sicherheitsherausforderungen gegenübersteht , und wir haben sie hier zusammengefasst.

SIEHE AUCH: Die 2 Wege der IoT-Sicherheit

1. Wi-Fi-fähige Geräte werden in lokalen Netzwerken (LAN) ohne angemessene Sicherheit hinzugefügt.

Dies ist die größte Bedrohung für die IoT-Sicherheit. Wenn TCP/IP-basierte Endpunkte in einem LAN ohne Sicherheitsprotokolle auf Unternehmensebene zugelassen sind, besteht ein großes Risiko.

Um zu veranschaulichen, wie dies bei IoT-Produkten passieren könnte (und wird), stellen Sie sich vor, jemand hat ein Gerät mit einem Wi-Fi-Modul gekauft, das sein normales Aquarium zu einem „intelligenten“ Aquarium macht. Wenn jemand dieses Produkt kauft und es in seinem LAN zulässt, hat er jetzt einen potenziell bösartigen Endpunkt hinter seiner Firewall zugelassen.

Hier ist das Problem:Firewalls und NATs sind die erste Verteidigungslinie eines Netzwerks gegen direkte Host-Angriffe, und wenn Sie etwas in Ihrem LAN hinzufügen, befindet es sich bereits hinter der Firewall. Sobald dieses intelligente Aquarium-Gerät installiert ist, kann es bösartige Server erreichen und sich mit ihnen verbinden. Dieser Vorgang wird als „Reverse-Tunneling“ bezeichnet, da das Gerät innerhalb der Firewall eine ausgehende Verbindung durch die Firewall herstellen und eine Socket-Verbindung leichter öffnen kann als eine eingehende Verbindung. Firewalls blockieren die meisten ausgehenden Anfragen nicht, da es sonst schwierig wäre, die meisten Anwendungen zu verwenden.

Schlechte Software ist hier nicht die einzige Herausforderung – es könnten auch schlechte Leute im Spiel sein. Mit anderen Worten, die Schöpfer des intelligenten Aquariums könnten böswillige Absichten haben und jedes Netzwerk ausnutzen, das ihnen in die Hände fällt. IoT-Produkte haben einfach nicht den Vorteil einer robusten Betriebssystemsicherheit (OS). Die meisten großen Betriebssysteme – wie die von Apple und Microsoft – machen es für jemanden sehr schwierig, ein System auszunutzen, selbst aus einem LAN heraus. Das heißt nicht, dass es nicht regelmäßig passieren kann, aber es ist schwieriger. Aber bei IoT-Produkten – da die meisten ein weniger ausgereiftes Betriebssystem verwenden – müssen sich die Verbraucher nur darauf verlassen, dass die Leute, die ihnen das Wi-Fi-fähige Gerät verkauft haben, dies mit guten Absichten getan haben.

2. Es gibt Probleme mit der Upgrade- und Patchfähigkeit von IoT-Endpunkten.

Das Schöne an Mac und Windows OS ist, dass sie vollständig konfiguriert sind und regelmäßig aktualisiert werden. Beide sind automatisch aktualisierbar. Wenn das Betriebssystem Ihres Computers aufgrund einer Sicherheitslücke repariert werden muss, kann es automatisch aktualisiert oder "gepatcht" werden.

Bei IoT-Geräten liegt es an den Unternehmen, die sie verkauft haben, einen Mechanismus für jede Art von Sicherheitslücken im Zusammenhang mit Patches bereitzustellen. Das Problem ist, dass dies jemals passieren kann oder auch nicht. Dies ist kein neues Thema – aber es ist trotzdem ein Thema. (Tatsächlich hat sich die Netzwerkausrüstungsindustrie damit beschäftigt – und ist immer noch Umgang mit – dem gleichen Problem, da manchmal Router usw. Schwachstellen haben, die nicht gepatcht werden, bevor ein Sicherheitsproblem auftritt.)

In diesem VentureBeat-Artikel sagt Autor Michael Coates:„Eine effektive Patch-Bereitstellung ist ein großes Problem“ für das IoT. Er erklärt, dass einige Sicherheitsverletzungen unbemerkt bleiben, andere jedoch entdeckt werden – und die Verbraucher eine Lösung verlangen. Er erklärt weiter, wie sich ein solches Szenario entwickeln kann – und warum es beunruhigend ist:

“In diesen Situationen kann ein Hersteller versuchen, einen Patch herauszugeben. Aber was dann? Wie wird der Patch eigentlich an das Gerät geliefert? Werden alle Kunden aufgefordert, ihren Ofen, ihr Auto oder ihren Herzschrittmacher neu zu starten und durch einen Aktualisierungsprozess zu navigieren? Oder wird die aktualisierte Software erst in der nächsten Version des physischen Produkts verfügbar sein? Dies würde bedeuten, dass Kunden nicht gepatcht werden, bis sie einen neuen Toaster, Babyphone usw. kaufen. Leider besteht eine unserer aktuellen Herausforderungen beim IoT darin, dass es selbst bei einem Patch keinen effektiven Kanal gibt, um die meisten Geräte zu erreichen rechtzeitig.“

Es läuft darauf hinaus:Je mehr Dinge zu einem LAN hinzugefügt werden, desto größer sind die Sicherheitsbedenken. Wir hoffen weiterhin, dass die Branche eine Art Standard für die Erwartungen an Sicherheitspatches für IoT-Geräte schaffen wird.

3. Beim Schutz des physischen Zugriffs sind Probleme aufgetreten.

Kehren wir zum Beispiel unserer Smart-Aquarium-App zurück. Verbraucher berücksichtigen dies oft nicht, aber bei jedem physischen Gerät besteht die Möglichkeit, dass ein Hacker es manipuliert und in freiliegende USB-Ports oder eine Debugger-Schnittstelle gelangt. Wenn es jemandem gelingt, sich erfolgreich auf eingebetteter Ebene in den Speicher eines IoT-Geräts zu hacken und den Verschlüsselungsschlüssel zu lesen, wird jedes Gerät, das ausgeliefert wird oder ausgeliefert wurde, anfällig. Dies ist ein echtes Problem sowohl für die Verbraucher als auch für die Branche insgesamt.

4. Es gibt eine Menge Hype von Entwicklern und Verbrauchern.

Da es eine so häufige und intensive Presse rund um das Internet der Dinge gibt, besteht für Unternehmen die Dringlichkeit, mit ihren IoT-Geräten schneller auf den Markt zu kommen. Der aktuelle Hype treibt zwar einerseits Innovationen voran, bringt aber auch Entwickler auf einen engen Zeitplan. Wenn die Zeit drängt und alle Bemühungen auf eine schnelle Bereitstellung ausgerichtet sind, kann Sicherheit zu einem Nebengedanken werden. In diesem Fall können IoT-Geräte mit schlechter Verschlüsselung, ungepatchten Betriebssystemen und mehr auf den Markt kommen.

Sie sehen, wie IoT-Sicherheit zu einer eigenen Disziplin geworden ist und ein ebenso wichtiges Thema wie die Standard-Netzwerksicherheit ist. Das IoT hat das „frühe Stadium“ der Entwicklung verlassen und mit seiner Popularität im Mainstream kommt die Verantwortung, Verbraucherinformationen sicher zu halten. Produktentwickler und Verbraucher nehmen diese Probleme ernst und müssen dies auch sein.